远端WWW服务支持TRACE请求
TOMCAT 在tomcat的web.xml配置文件中,对不安全的方法进行拦截,禁用TRACE,HEAD,PUT,DELETE,OPTIONS请求方式: 在tomcat的在server.xml中先允许TRACE请求,再在web.xml中禁用TRACE,以此禁用TRACE ...
原文:远端WWW服务支持TRACE请求
漏洞描述 远端WWW服务支持TRACE请求。RFC 介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。 解决方法 管理员应禁用WWW服务对TRACE请求的支持。 IIS URLScan Apache Source Code Modific ...
2019-07-10 14:38 0 1334 推荐指数:
相关推荐
漏洞修复【远端WWW服务支持TRACE请求】
漏洞名称: 远端WWW服务支持TRACE请求 解决方案: 在apache配置文件httpd.conf中ServerRoot下添加配置,重启apache即可: TraceEnable off ...
"远端www服务支持TRACE请求"验证及修复(apache,Jetty,Tomcat)
在服务器漏扫中经常遇到"远端www服务支持TRACE请求"漏洞,绿盟扫描器所提供修复建议有不适用的情况。对已经处理过的不同应用禁用TRACE请求做一总结记录。 首先漏洞验证: 模拟trace请求,假设报漏洞的端口是8081: 如果回显为: 则该端口服务支持 ...
漏洞挖掘 | 远程WWW服务支持TRACE请求
允许TRACE方法 漏洞描述 目标WEB服务器启用了TRACE方法。TRACE方法是HTTP(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户端提交的任意数据,因此,可用来进行跨站脚本(XSS ...
Apache支持TRACE请求漏洞处理方案
trace和get一样是http的一种请求方法,该方法的作用是回显收到的客户端请求,一般用于测试服务器运行状态是否正常。 该方法结合浏览器漏洞可能造成跨站脚本攻击。修复方法如下: 编缉/etc/httpd/conf/httpd.conf在其尾部追加: 保存然后进入重启 ...
trace与代码跟踪服务
首先开篇引用《MVC2 2 in action》里面一段关于这个跟踪服务的话 When you called Trace.Write() in Web Forms, you were interacting with the Trace- Context class. This exists ...
TRACE请求引起的反射型XSS漏洞
HTTP定义了一组请求方法,以表明要对给定资源执行的操作。指示针对给定资源要执行的期望动作。 虽然他们也可以是名词, 但这些请求方法有时被称为HTTP动词. 每一个请求方法都实现了不同的语义。其中,TRACE方法沿着到目标资源的路径执行一个消息环回测试。 关于TRACE方法 客户端发起一个请求 ...
HTTP与WWW服务
1、查看本地DNS缓存 2、查看本地hosts。 3、http 协议简介 HTTP协议,全程HyperText Transfer Protocol,是超文本传输协议,是互联网上应用最为广泛的一种网络协议。所有WWW都必须遵守这个标准,设计HTTP ...